Device Guardではアプリケーションやデバイスドライバに署名情報をチェックして、動作を決めている。つまり、デバイスドライバなどでは適切な署名情報が無かったり、違法な証明所局から発行された署名情報が付与されたりしているドライバなどは、Windows 10が起動する前にドライバの動作が停止される(ウイルスなどで改ざんされたドライバなども対象)。
さらにアプリケーションに関しても、署名がされているモノしか動作しない。設定によって、警告のみ、もしくは完全に動作を停止させるといった選択ができる。
アプリケーションの署名に関しては、Windows Storeで配布されているアプリケーションに関しては署名が必須だ。社内に公開鍵基盤(PKI)を用意して、既存のアプリケーションには社内で署名を行うことができる。
なお、Device Guardは署名さえ行われていればどんなアプリケーションでも動作するっわけではなく、グループポリシーの「コードの整合性ポリシーを展開する」を使って、あらかじめ指定したアプリケーションだけしか動作しないように設定ができる。このような機能を使えば、社内では指定したアプリケーションしか動作できないため、ユーザーの勝手な行為を防止できるだろう。
ただ、「コードの整合性ポリシー」の作成には手間がかかることから、このあたりはもっと簡単にできるようなツールがMicrosoftからリリースされることを期待したい。
Device GuardとCredential Guardは、アンチウイルスソフトだけでは防げない情報漏えいをハードウェア、OSのレベルから防ごうという試みだ。今までに無かった仕組みだけに、まだ周辺サービスやツールなどがそろっていないが、今後が注目される
Copyright © ITmedia, Inc. All Rights Reserved.